Cyber Survey 2018: bedrijven wapenen zich (nog steeds) onvoldoende tegen cyberrisico’s

Er zijn 4% minder respondenten die over een back-up beschikken van hun interne, kritische systemen dan bij de bevraging in 2017. Dit is een opvallend resultaat. We zouden verwachten dat bedrijven massaal overgaan tot het maken van back-ups om de continuiteit van de onderneming te garanderen. Een back-up is niet enkel van vitaal belang bij een cyberaanval, maar ook bij bijvoorbeeld een stroompanne of een menselijke fout. Back-up en recovery procedures zijn een absolute must voor elke onderneming en maken bovendien onlosmakelijk deel uit van het Business Continuity Plan (BCP) van uw onderneming. U kunt het zich als onderneming niet veroorloven om enkele uren of, erger nog, enkele dagen stil te liggen.

We merken in onze Cyber Survey een positieve evolutie op: er zijn meer respondenten die hun beveiligingsprogramma’s grondig bijwerken dan vorig jaar. Maar liefst 72% doet dit dagelijks. Er is weliswaar nog steeds 10% van de respondenten die slechts één maal per jaar de beveiligingsprogramma’s bijwerkt. U dient er zich van bewust te zijn dat uw bedrijf daardoor veel kwetsbaarder is voor cybercrime. Uw beveiligingsproducten regelmatig updaten is bovendien een relatief eenvoudige en goedkope manier om uw kritische systemen zo optimaal mogelijk te beschermen. We raden u dit dan ook ten zeerste aan.

Dit is een erg verontrustende vaststelling. Rekening houdend met de mens als zwakste schakel in de cybercrime-ketting, adviseren we elk bedrijf om nog meer aan sensibilisering te doen en opleidingen voor de medewerkers te organiseren. Het bewustzijn van de medewerkers verhogen zou vandaag de topprioriteit van elke onderneming moeten zijn inzake cybercrime. Denk aan phishing mails die maar al te vaak rechtstreeks bij één van uw niet-geïnformeerde medewerkers terechtkomen en die voor cybercriminelen de deur openzetten om uw bedrijf te hacken of om gegevens te stelen. Het is daarom aangewezen om al uw medewerkers te informeren over de veiligheidsmaatregelen die u als bedrijf heeft genomen en de daaruit voortvloeiende richtlijnen. Uit onze studie blijkt dat 37% van de respondenten vandaag al een beleid heeft omtrent cybercrime, maar slechts 16% investeert ook in opleidingen.

Hier stellen we een spectaculaire daling vast: waar 36% van de respondenten in onze Cyber Survey van vorig jaar nog nooit had gehoord over de GDPR, is dit aantal nu teruggevallen tot 1%. Onze doelgroep is het voorbije jaar duidelijk voldoende geïnformeerd over de GDPR. Opvallend is wel dat, hoewel nagenoeg elk bedrijf aangeeft op de hoogte te zijn, nog steeds 10% van de respondenten geen stappen ondernam om zich in regel te stellen met deze nieuwe wetgeving. Dit wordt ook gestaafd door de vele onderzoeken die recent verschenen in de media waaruit blijkt dat slechts een minderheid van de bedrijven helemaal in regel was met de GDPR op 25 mei.

Hoewel we een daling zien met 6% ten opzichte van 2017, stellen we toch vast dat nog meer dan de helft van onze respondenten vandaag geen Data Protection Officer heeft. Dit kan te verklaren zijn door het type bedrijven dat aan onze survey heeft deelgenomen: het merendeel van de respondenten zijn productiebedrijven. Zij hebben doorgaans geen interne DPO, maar besteden deze verantwoordelijkheid uit. We vermoeden dat het aantal DPO’s in de dienstensector in België veel hoger ligt. We merken daarnaast op dat het aantal bedrijven dat op de arbeidsmarkt nog op zoek is naar een DPO opmerkelijk hoog is.

De stijging met 1% ten opzichte van 2017 is schijnbaar verwaarloosbaar. Wat echter absoluut niet mag onderschat worden, is de omvang en de ernst van de meest recente cyberaanvallen. Zowel bij schadegevallen bekend via de media als bij diegenen die Vanbreda het afgelopen jaar heeft behandeld, zien we steeds complexere en grootschalige gevallen van cybercrime met zeer verregaande operationele en financiële consequenties. Een goed voorbeeld daarvan is het Wannacry-virus, dat één van de grootste rederijen ter wereld vorig jaar bijna 300 miljoen euro heeft gekost. De rederij heeft door deze cyberaanval bovendien een bedrijfsverlies geleden van ettelijke miljoenen euro’s en zag zijn marktaandeel aanzienlijk dalen.

Bijna een derde van de respondenten heeft reeds een cyberpolis afgesloten via Vanbreda. Bovendien overweegt 30% van de respondenten om in de nabije toekomst een cyberpolis te onderschrijven. Dat zestig procent van de respondenten vandaag dergelijke polis heeft of geneigd is er één te nemen, is een enorm verschil met pakweg 5 jaar geleden. Onze respondenten zijn vandaag duidelijk doelbewust bezig met deze problematiek. De toenemende interesse in een cyberverzekering is volgens ons te wijten aan 3 factoren: de wetgeving, de cruciale rol die IT vandaag speelt bij nagenoeg alle bedrijven en de aard van de schadegevallen.

Volgens onze cyberexperten is dit resultaat ook hét bewijs dat een cyberverzekering niet langer wordt beschouwd als een nicheproduct. Het raakt alsmaar meer ingeburgerd en maakt bij vele bedrijven intussen deel uit van het basisverzekeringspakket. De verzekeraars beamen bovendien dat cyber het snelst groeiend verzekeringsproduct is van de voorbije jaren. Zo zijn er vandaag via Vanbreda enkele honderden bedrijven die zich beschermen tegen cybercriminelen door middel van een cyberpolis. Deze bedrijven komen uit zeer uiteenlopende sectoren, gaande van financiële instellingen tot productiebedrijven en ziekenhuizen.